di Julia Reda
(articolo originale)

È passato un po’ di tempo dall’ultima volta che ho scritto sul progetto Free and Open Source Software Audit (FOSSA) quindi lasciatemi iniziare con un rapido riassunto che potete tranquillamente saltare se avete già familiarità con il progetto.

Quello che è successo finora

Nel 2014 sono state riscontrate vulnerabilità di sicurezza in importanti progetti di software libero. Uno dei problemi è stato trovato nella libreria di crittografia Open Source OpenSSL. Questo tipo di software è chiamato libreria perché fornisce funzioni standard a un gran numero di altri software. E questi ultimi, in seguito, hanno conseguentemente sofferto per il problema.

Poiché OpenSSL è molto importante anche per la crittografia del traffico in Internet, è altresì importante per la protezione delle vostre comunicazioni personali, o dei vostri dati di pagamento quando fate acquisti online.

Questo problema ha fatto capire a molti quanto sia importante il Software Libero e Open Source per l’integrità e l’affidabilità di Internet e di altre infrastrutture. Come molte altre organizzazioni, istituzioni come il Parlamento europeo, il Consiglio e la Commissione si basano sul software libero per gestire i loro siti web e molte altre cose. Ma Internet non è cruciale solo per la nostra economia e la nostra amministrazione. E’ l’infrastruttura che gestisce la nostra vita quotidiana. E’ il mezzo che usiamo per recuperare informazioni e per essere politicamente attivi.

Questo è il motivo per cui il mio collega Max Andersson ed io abbiamo iniziato il progetto Free and Open Source Software Audit: FOSSA.

FOSSA

Nel 2015-2016 c’è stata la prima iterazione del progetto FOSSA; la Commissione Europea, che gestisce il progetto per noi, ha selezionato i software liberi su cui incentrare l’iniziativa. Ha anche analizzato come gli sviluppatori di software gestiscono la sicurezza nei loro progetti. Infine, due progetti (server web Apache e password manager KeePass) hanno ricevuto un audit di sicurezza.

FOSSA 2

Nel 2017 il progetto è stato prorogato di altri tre anni. Questa volta abbiamo deciso di fare un ulteriore passo avanti e abbiamo aggiunto la realizzazione di Bug Bounties su importanti progetti di Software Libero alla lista delle misure che volevamo mettere in atto per aumentare la sicurezza del Software Libero e Open Source.

Abbiamo anche pianificato una serie di Hackathon, che permetterà agli sviluppatori delle istituzioni europee, e agli sviluppatori di progetti di software libero, di lavorare più strettamente insieme e di collaborare direttamente al loro software.

FOSSA BUG BOUNTIES

A gennaio la Commissione Europea lancerà 14 Bug Bounties su progetti di software libero su cui le istituzioni europee fanno affidamento. Un Bug Bounty è un premio per chi cerca attivamente problemi di sicurezza. L’ammontare del premio dipende dalla gravità del problema scoperto e dall’importanza relativa del software. I progetti software scelti sono stati precedentemente identificati come candidati negli inventari e in un sondaggio pubblico.

Puoi contribuire ai progetti qui di seguito analizzando il software e inviando eventuali bug o vulnerabilità che trovi alle piattaforme di bug bounty coinvolte. Ecco l’elenco dei progetti software e dei bug bounties:

SOFTWARE PROJECT BUG BOUNTY AMOUNT (EURO) START DATE END DATE BUG BOUNTY PLATFORM
Filezilla 58.000,00 € 07/01/2019 15/08/2019 HackerOne
Apache Kafka 58.000,00 € 07/01/2019 15/08/2019 HackerOne
Notepad++ 71.000,00 € 07/01/2019 15/08/2019 HackerOne
PuTTY 90.000,00 € 07/01/2019 15/12/2019 HackerOne
VLC Media Player 58.000,00 € 07/01/2019 15/08/2019 HackerOne
FLUX TL 34.000,00 € 15/01/2019 15/10/2019 Intigriti/Deloitte
KeePass 71.000,00 € 15/01/2019 31/07/2019 Intigriti/Deloitte
7-zip 58.000,00 € 30/01/2019 15/04/2020 Intigriti/Deloitte
Digital Signature Services (DSS) 25.000,00 € 30/01/2019 15/10/2019 Intigriti/Deloitte
Drupal 89.000,00 € 30/01/2019 15/10/2020 Intigriti/Deloitte
GNU C Library (glibc) 45.000,00 € 30/01/2019 15/12/2019 Intigriti/Deloitte
PHP Symfony 39.000,00 € 30/01/2019 15/10/2019 Intigriti/Deloitte
Apache Tomcat 39.000,00 € 30/01/2019 15/10/2019 Intigriti/Deloitte
WSO2 58.000,00 € 30/01/2019 15/04/2020 Intigriti/Deloitte
midPoint 58.000,00 € 01/03/2019 15/08/2019 HackerOne

 

L’articolo L’UE lancia 14 Bug Bounty per il Software Libero sembra essere il primo su Partito Pirata Italiano | Sito ufficiale.

Flattr this!